廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月27日以粵公通字〔2008〕228號發布 自2008年12月1日起施行）

第一章 總則

第一條 為保(bao)護計算機(ji)信息系(xi)統安(an)全，促進信息化建設的健康發展，貫徹落實《廣東省計算機(ji)信息系(xi)統安(an)全保(bao)護條例》，根據有關法(fa)(fa)律法(fa)(fa)規，制(zhi)定本辦法(fa)(fa)。

第二條 本辦法適用于廣東省行政(zheng)區域內(nei)計算(suan)機信息系統的安全保護(hu)。

第三條 縣級以上人民(min)政府公安機(ji)(ji)關(guan)公共信息網絡安全監(jian)察部(bu)門具體(ti)負(fu)責本行政區域內計算機(ji)(ji)信息系(xi)統的(de)安全保(bao)護監(jian)管工作(zuo)。

第二章 安全監督

第四條 公(gong)安(an)機(ji)(ji)關(guan)公(gong)共(gong)信(xin)息網絡安(an)全監(jian)察部(bu)門(men)對計(ji)算(suan)機(ji)(ji)信(xin)息系(xi)統安(an)全保(bao)護工作(zuo)行(xing)使下列職責：

（一）監(jian)督、檢查、指導計算機信息系(xi)統安全(quan)保護工作；

（二）組織開展(zhan)計算機信息系統安(an)全等級保護；

（三）查處計算機違法犯罪案件(jian)；

（四(si)）組織處置重大計算機信(xin)息系統安全事故和事件；

（五）負(fu)責計算機病毒和其他有害數據防治管(guan)理(li)；

（六(liu)）負責計算(suan)機信息系統安(an)全服務(wu)的監督指導；

（七）負責計算機信息(xi)系統安(an)全專用產品(pin)的(de)監督管理；

（八）負責計算機(ji)信息(xi)系(xi)統(tong)安全培訓管理；

（九）法(fa)律、法(fa)規(gui)和規(gui)章規(gui)定的其他(ta)職責。

第五條 公安(an)機關公共信(xin)息(xi)網(wang)絡(luo)安(an)全(quan)監察(cha)部門(men)應當對計(ji)算機信(xin)息(xi)系統落(luo)實實體(ti)安(an)全(quan)、運行安(an)全(quan)、信(xin)息(xi)安(an)全(quan)和(he)內容安(an)全(quan)措(cuo)施的情況進(jin)行檢查(cha)。

對(dui)第三級(ji)計算機信(xin)息系(xi)(xi)統(tong)每(mei)年至(zhi)少檢(jian)查一次，對(dui)第四級(ji)計算機信(xin)息系(xi)(xi)統(tong)每(mei)半年至(zhi)少檢(jian)查一次。對(dui)第五級(ji)計算機信(xin)息系(xi)(xi)統(tong)，應當會同國(guo)家(jia)指定的專門部門進行檢(jian)查。

對其他計算機信息系(xi)統應當不定(ding)期(qi)開展檢查(cha)。

第六條 公安(an)(an)機關公共信息網絡安(an)(an)全(quan)(quan)監察(cha)部門發現計(ji)算機信息系(xi)統的安(an)(an)全(quan)(quan)保護等級和(he)安(an)(an)全(quan)(quan)措(cuo)施不符合有關規定和(he)技術標(biao)準，或者(zhe)存(cun)在安(an)(an)全(quan)(quan)隱患的，應當通知運營(ying)、使用單位進行(xing)整(zheng)改。

第七條 公(gong)安(an)機關公(gong)共(gong)信息網絡安(an)全(quan)監察部門(men)應當向公(gong)眾提供報(bao)警求助渠道，提供計算機信息系(xi)統安(an)全(quan)指導，發(fa)布安(an)全(quan)動態，開展安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位和(he)個人應(ying)當(dang)依照有(you)(you)關(guan)法規、規章和(he)標(biao)準，對其所有(you)(you)、使用和(he)管理的計算機(ji)信息系統承擔相應(ying)的安全保護(hu)責任。

第九條 第二(er)級(ji)以上(shang)計算機信息系統的運營、使用單(dan)位(wei)應當建(jian)立安全(quan)保護組織，并報(bao)所在地地級(ji)以上(shang)市(shi)人民(min)政府公安機關公共(gong)信息網絡(luo)安全(quan)監察部門備案。

第十條 安(an)全保(bao)護組織(zhi)保(bao)障本(ben)單(dan)(dan)位計(ji)(ji)(ji)算機信(xin)(xin)息(xi)(xi)系(xi)(xi)(xi)統(tong)的安(an)全運行(xing)，組織(zhi)本(ben)單(dan)(dan)位計(ji)(ji)(ji)算機信(xin)(xin)息(xi)(xi)系(xi)(xi)(xi)統(tong)的有害信(xin)(xin)息(xi)(xi)防治工作，組織(zhi)開展本(ben)單(dan)(dan)位計(ji)(ji)(ji)算機信(xin)(xin)息(xi)(xi)系(xi)(xi)(xi)統(tong)安(an)全教育和(he)培訓，向(xiang)公(gong)安(an)機關公(gong)共信(xin)(xin)息(xi)(xi)網(wang)絡安(an)全監察部(bu)門報告本(ben)單(dan)(dan)位計(ji)(ji)(ji)算機信(xin)(xin)息(xi)(xi)系(xi)(xi)(xi)統(tong)運行(xing)、服務和(he)安(an)全等(deng)情(qing)況，及(ji)時協助公(gong)安(an)機關公(gong)共信(xin)(xin)息(xi)(xi)網(wang)絡安(an)全監察部(bu)門查(cha)處違法犯罪和(he)處置突(tu)發事件。

第十一條 互(hu)聯(lian)(lian)單位(wei)、互(hu)聯(lian)(lian)網接(jie)入服(fu)務單位(wei)、互(hu)聯(lian)(lian)網數據中心應當(dang)對(dui)接(jie)入本網絡的用戶進行資(zi)格(ge)審(shen)查，確認符(fu)合國家和省(sheng)有關規定后方可為其提供服(fu)務。

互(hu)聯網接入(ru)服(fu)(fu)務、信息服(fu)(fu)務單(dan)位以及(ji)互(hu)聯網數據中心應(ying)當向用戶宣傳相關法律(lv)法規，提供必要的安(an)全保護(hu)措施。

第十二條 個人主頁(ye)、博客、聊天室、點對點服務等互聯網信息服務的(de)提供單位和使用者應當依(yi)照(zhao)國家和省有關(guan)規定，落實相應的(de)安(an)全措施。

第十三條 網吧、圖書(shu)館、學校、賓(bin)館等提供互聯網上網服務的場(chang)所應當(dang)安裝符合國(guo)家規定(ding)的安全管理系統。

第十四條 互(hu)聯(lian)(lian)單(dan)位(wei)、互(hu)聯(lian)(lian)網(wang)接入服務(wu)單(dan)位(wei)以及互(hu)聯(lian)(lian)網(wang)數據中(zhong)心(xin)應當(dang)每月將接入本網(wang)絡的用(yong)戶情況報(bao)地級以上市公安機關公共信息網(wang)絡安全監察部門備(bei)案。

第十五條 計(ji)算機(ji)信息(xi)系統(tong)運營、使用單位應當接受公(gong)安機(ji)關公(gong)共(gong)信息(xi)網絡安全監(jian)察部門的監(jian)督、檢查、指導，如實提(ti)供安全保護有關信息(xi)、資料(liao)及數據文件，不得變相(xiang)拒絕、拖延、阻礙公(gong)安機(ji)關公(gong)共(gong)信息(xi)網絡安全監(jian)察部門依法執行公(gong)務(wu)。

第四章 安全專用產品和安全服務

第十六條 安全專用產(chan)品必須取得公安部頒(ban)發(fa)的銷售許可證方可銷售。

第十七條 生(sheng)產、銷(xiao)售(shou)或者提供含有計(ji)算(suan)機(ji)信(xin)息(xi)網絡(luo)(luo)(luo)遠程控制、密(mi)碼猜解(jie)、安全(quan)（漏洞）檢測、信(xin)息(xi)群(qun)發(fa)技術的(de)產品和工具的(de)，應當(dang)在領取營(ying)業執(zhi)照后30日(ri)(ri)內（沒有營(ying)業執(zhi)照的(de)，自開辦之日(ri)(ri)起(qi)30日(ri)(ri)內）向單位所在地(di)地(di)級以上市人(ren)民政府公安機(ji)關公共(gong)信(xin)息(xi)網絡(luo)(luo)(luo)安全(quan)監察(cha)部門(men)備案，填寫《廣東省(sheng)計(ji)算(suan)機(ji)信(xin)息(xi)網絡(luo)(luo)(luo)安全(quan)特種技術備案表(biao)》，并提交如(ru)下資料：

（一）單位簡況；

（二）營業執照（或其(qi)他有效證明(ming)）復印件；

（三）研發(fa)和服務管理制(zhi)度；

（四）主要(yao)經營管理人員、技術人員和服務(wu)人員有效證件復印(yin)件；

（五(wu)）主要產(chan)品(pin)情況。

第十八條 安全(quan)保護等級為第三級以上的(de)計算機信息系統(tong)應當選用符合(he)下列條件的(de)安全(quan)專用產品：

（一(yi)）產(chan)品(pin)研(yan)制(zhi)、生產(chan)單位是(shi)由(you)中國(guo)(guo)公民、法(fa)人(ren)(ren)投(tou)資(zi)(zi)或(huo)者(zhe)國(guo)(guo)家投(tou)資(zi)(zi)或(huo)者(zhe)控股(gu)的，在中華(hua)人(ren)(ren)民共(gong)和國(guo)(guo)境內具有獨立的法(fa)人(ren)(ren)資(zi)(zi)格(ge)；

（二）產(chan)品的核(he)心技術、關(guan)鍵(jian)部件具有我國自主知識產(chan)權；

（三）產(chan)品研制、生產(chan)單位(wei)及其主要業務、技術人員無犯罪記錄；

（四）產品研制(zhi)、生(sheng)產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能(neng)；

（五(wu)）對國家(jia)安全、社會(hui)秩序、公(gong)共利(li)益不構成危害。

第十九條 符(fu)合第十八(ba)條規(gui)定的安(an)全(quan)專用產(chan)品(pin)和生產(chan)單位應當到省(sheng)公(gong)安(an)廳公(gong)共信(xin)息網(wang)絡安(an)全(quan)監察(cha)部門備(bei)案。

第二十條 為加強安(an)全服(fu)務機構的(de)指(zhi)導，推動安(an)全服(fu)務質量和技(ji)術水平(ping)的(de)提高，廣東省對從事(shi)計算機信息系(xi)統(tong)安(an)全設計、建設、檢測、評估(gu)等安(an)全服(fu)務的(de)機構，根據其注(zhu)冊(ce)資本、服(fu)務業績、技(ji)術力量、組織管理(li)情況實行分級指(zhi)導。

第五章 安全等級測評

第二十一條 第二級以(yi)上(shang)的(de)計(ji)(ji)算(suan)機信(xin)息(xi)系(xi)統的(de)安全測(ce)(ce)評應當選擇(ze)符合下列條件的(de)計(ji)(ji)算(suan)機信(xin)息(xi)系(xi)統安全等級測(ce)(ce)評機構(gou)(gou)（簡稱測(ce)(ce)評機構(gou)(gou)）承擔：

（一）在中華人民共(gong)和國境內注冊成立（港澳臺地(di)區除外），具有(you)相應經營范(fan)圍的營業執照，注冊資本(ben)100萬元以(yi)上；

（二）由中國(guo)(guo)公民投(tou)資、中國(guo)(guo)法人投(tou)資或者國(guo)(guo)家投(tou)資的企(qi)事(shi)業單位（港澳臺地(di)區(qu)除(chu)外）；

（三(san)）近(jin)3年完成的測(ce)評項目(mu)總值150萬(wan)元以上；

（四）具(ju)有(you)計(ji)算機安全或相關專業資(zi)格證書的(de)專業技術人(ren)(ren)員不少于20人(ren)(ren)，其中大學本(ben)科以上(shang)學歷(li)的(de)人(ren)(ren)員不少于15人(ren)(ren)；

（五）管(guan)(guan)理(li)人員應當(dang)具有3年以上從事計(ji)(ji)算機信息(xi)系統安全(quan)(quan)技術領(ling)域企業管(guan)(guan)理(li)工作經歷，技術負責人已獲(huo)得計(ji)(ji)算機信息(xi)系統安全(quan)(quan)技術相(xiang)關專業的高級職稱(cheng)，從事安全(quan)(quan)測評工作不少于3年，無(wu)犯(fan)罪記錄(lu)；

（六）工作人員僅限于(yu)中國公民(min)，法(fa)人及主要業務、技術(shu)人員無(wu)犯(fan)罪記錄(lu)；

（七）具有與所承擔項目(mu)適應(ying)的技術(shu)裝備(bei)；

（八(ba)）具有完備的(de)保(bao)密管(guan)(guan)理(li)、項目(mu)管(guan)(guan)理(li)、質量(liang)管(guan)(guan)理(li)、人員管(guan)(guan)理(li)和培訓(xun)教育等安全管(guan)(guan)理(li)制度；

（九）對國家安全、社會秩序、公共利益不(bu)構成(cheng)威脅。

第二十二條 廣(guang)東(dong)省對測評機構實施(shi)備(bei)案制度。符合第二十(shi)一條規(gui)定的條件(jian)，承擔第二級以上的計算機信息系統測評工作的機構應當到(dao)省公安(an)廳公共信息網(wang)絡安(an)全監(jian)察部門備(bei)案。

第二十三條 省公安(an)廳公共信(xin)息(xi)網絡安(an)全監察部(bu)門對(dui)已備案的測評(ping)機構進行公布。

第二十四條 測評機構(gou)應當履行下列(lie)義務：

（一）遵守國家有關法律法規和(he)技術(shu)標準，提供安全(quan)、客觀、公(gong)正(zheng)的檢測評估服務，保證測評的質量和(he)效果；

（二）保(bao)守在測評(ping)活動中知(zhi)悉(xi)的國家秘密(mi)、商業(ye)秘密(mi)和個人隱私，防(fang)范測評(ping)風險；

（三）對測評人員進行安全(quan)保密(mi)(mi)教育，與(yu)其簽(qian)訂安全(quan)保密(mi)(mi)責任書，規定(ding)應當履行的(de)安全(quan)保密(mi)(mi)義務和(he)承擔的(de)法律責任，并負責檢查落(luo)實。

第二十五條 第二級以上的(de)計算(suan)機信息系統(tong)建設完成后，使用(yong)單位(wei)應當委托符合規定的(de)測評(ping)機構安全(quan)測評(ping)合格方可(ke)投入使用(yong)。測評(ping)活動應當接受公安機關公共信息網絡安全(quan)監察部門的(de)監督(du)。

第二十六條 計算機信息系(xi)統運營、使用單位委(wei)托安(an)全測(ce)評機構測(ce)評，應當提交下(xia)列資料：

（一）安全測評委(wei)托書；

（二）計算(suan)機信息系(xi)統應用(yong)需求(qiu)、系(xi)統結構(gou)(gou)拓(tuo)撲及說明(ming)、系(xi)統安全(quan)組(zu)織結構(gou)(gou)和(he)管理(li)制度、安全(quan)保護設施(shi)設計實施(shi)方案或者改(gai)建實施(shi)方案、系(xi)統軟件硬件和(he)信息安全(quan)產品清單。

第二十七條 安(an)全測(ce)評(ping)(ping)機構(gou)在收到委托材(cai)料后，應當與委托方協商制(zhi)訂安(an)全測(ce)評(ping)(ping)計劃(hua)，開(kai)展安(an)全測(ce)評(ping)(ping)工作(zuo)，并出具(ju)安(an)全測(ce)評(ping)(ping)報告。

經測(ce)評(ping)，計算(suan)機信息系統安全狀況未達到國家有(you)關規定和標準的(de)要(yao)求，委托單位應(ying)當根據測(ce)評(ping)報告的(de)建(jian)議，完(wan)善(shan)計算(suan)機信息系統安全建(jian)設，并(bing)重(zhong)新提出安全測(ce)評(ping)委托。

測(ce)(ce)評機(ji)構對計算機(ji)信(xin)息系統進行(xing)使(shi)用(yong)前(qian)安(an)(an)(an)(an)全(quan)測(ce)(ce)評，應當(dang)預先報告(gao)地(di)(di)級(ji)以上市公(gong)安(an)(an)(an)(an)機(ji)關公(gong)共信(xin)息網(wang)絡安(an)(an)(an)(an)全(quan)監(jian)察部(bu)門。安(an)(an)(an)(an)全(quan)測(ce)(ce)評報告(gao)由計算機(ji)信(xin)息系統運營、使(shi)用(yong)單位報地(di)(di)級(ji)以上市公(gong)安(an)(an)(an)(an)機(ji)關公(gong)共信(xin)息網(wang)絡安(an)(an)(an)(an)全(quan)監(jian)察部(bu)門。

第二十八條 第(di)三級計(ji)算機(ji)信(xin)息系(xi)統(tong)應(ying)(ying)當每(mei)年(nian)至少(shao)進(jin)行(xing)一(yi)(yi)次安全測(ce)評(ping)，第(di)四級計(ji)算機(ji)信(xin)息系(xi)統(tong)應(ying)(ying)當每(mei)半年(nian)至少(shao)進(jin)行(xing)一(yi)(yi)次安全測(ce)評(ping)，第(di)五級計(ji)算機(ji)信(xin)息系(xi)統(tong)應(ying)(ying)當依據特(te)殊(shu)安全要(yao)求進(jin)行(xing)安全測(ce)評(ping)。

第六章 應急處置

第二十九條 公安機(ji)(ji)關公共信(xin)息網絡安全監察部門與所(suo)在地安全服務機(ji)(ji)構、互聯網運(yun)營單位(wei)和其他計算機(ji)(ji)信(xin)息系統運(yun)營、使用單位(wei)應當(dang)建立聯防機(ji)(ji)制，依法及時(shi)查處通(tong)過計算機(ji)(ji)信(xin)息系統進行(xing)的違法犯罪行(xing)為，組織處置重大突發事(shi)件(jian)。

第三十條 對計(ji)算機信息(xi)系統(tong)中發生(sheng)的(de)案件(jian)和重大(da)安全(quan)事故，計(ji)算機信息(xi)系統(tong)的(de)運營、使用單(dan)位應當在(zai)二(er)十四小(xiao)時內報告縣(xian)級以上人民政府公安機關(guan)公共信息(xi)網絡(luo)安全(quan)監(jian)察部門(men)，并保留有關(guan)原始記(ji)錄(lu)。

第三十一條 第二級以上(shang)的計算機信息系(xi)統(tong)運營、使用(yong)單位(wei)應(ying)當制定(ding)重大突發事(shi)件應(ying)急處置預案(an)并(bing)定(ding)期實施演(yan)練。

第三十二條 計算機信(xin)息系統(tong)發生(sheng)重(zhong)大突發事(shi)件，有關單位應當(dang)按照應急處置預案的要求采取相應的處置措施(shi)，并服從公(gong)安機關和國家指定(ding)的專門部(bu)門的調度。

第三十三條 地級市以上人民政府公(gong)安(an)機關公(gong)共信息網絡安(an)全(quan)監(jian)察部門經本機關主管領導批準，為保(bao)護計算機信息系統安(an)全(quan)，在發(fa)生(sheng)重大突發(fa)事件，危(wei)及國家安(an)全(quan)、公(gong)共安(an)全(quan)及社會穩定的緊急(ji)情況下，可以采取二(er)十四(si)小時內(nei)暫(zan)時停(ting)機、暫(zan)停(ting)聯網、備份數據等(deng)措施(shi)。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公安廳(ting)、人事廳(ting)聯(lian)合(he)成立(li)的省(sheng)(sheng)信息網絡(luo)安全專業(ye)技術(shu)人員繼續(xu)教育(yu)(yu)(yu)工(gong)作領(ling)導(dao)小組，負(fu)(fu)責全省(sheng)(sheng)信息網絡(luo)安全專業(ye)技術(shu)人員繼續(xu)教育(yu)(yu)(yu)工(gong)作的組織和(he)領(ling)導(dao)。下設省(sheng)(sheng)信息網絡(luo)安全專業(ye)技術(shu)人員繼續(xu)教育(yu)(yu)(yu)工(gong)作辦公室，具(ju)體負(fu)(fu)責日常管(guan)理(li)工(gong)作。

第三十五條 下列人(ren)員(yuan)應(ying)當參加信息網(wang)絡安(an)全專(zhuan)業技術(shu)人(ren)員(yuan)繼續(xu)教育，取(qu)得省信息網(wang)絡安(an)全專(zhuan)業技術(shu)人(ren)員(yuan)繼續(xu)教育工(gong)作辦公(gong)室頒發的信息網(wang)絡安(an)全專(zhuan)業技術(shu)人(ren)員(yuan)繼續(xu)教育合(he)格證(zheng)書(shu)，持證(zheng)上崗(gang)：

（一）計算機信(xin)息(xi)系統運(yun)營(ying)、使用(yong)單位信(xin)息(xi)安全管(guan)理責任人、信(xin)息(xi)審查員；

（二）互聯網(wang)接(jie)入服(fu)務(wu)、數據(ju)中心服(fu)務(wu)、信息服(fu)務(wu)、上(shang)網(wang)服(fu)務(wu)提供單位安全(quan)管(guan)理員、專業技術(shu)人員；

（三）安全專用產品生產單位專業技術人員；

（四(si)）安全服(fu)(fu)務機構專業技(ji)術(shu)人(ren)員、安全服(fu)(fu)務管理人(ren)員；

（五）其他(ta)從(cong)事計算機(ji)信息系統安全保護(hu)工作的(de)人(ren)員。

第三十六條 信息網絡安(an)全專(zhuan)業技(ji)(ji)術(shu)(shu)人員(yuan)(yuan)繼(ji)續教育(yu)由省信息網絡安(an)全專(zhuan)業技(ji)(ji)術(shu)(shu)人員(yuan)(yuan)繼(ji)續教育(yu)工作(zuo)辦公室授權的施(shi)教機構負責(ze)實施(shi)。施(shi)教機構實行統籌規劃(hua)。

第三十七條 信息網(wang)絡(luo)安全專業技術人員繼續教(jiao)育培訓(xun)和考試(shi)按照有(you)關規定進行，實行統(tong)一(yi)教(jiao)學大綱(gang)，統(tong)一(yi)教(jiao)材，統(tong)一(yi)考試(shi)，統(tong)一(yi)發證(zheng)。

考試合格的，由省信息網絡安(an)全專(zhuan)業技(ji)術人員繼(ji)續教育(yu)工(gong)作辦(ban)公室發給(gei)信息網絡安(an)全專(zhuan)業技(ji)術人員繼(ji)續教育(yu)證書。

第八章 法律責任

第三十八條 違反本辦(ban)法(fa)的規(gui)定，依(yi)照(zhao)有關法(fa)律(lv)、法(fa)規(gui)和規(gui)章處罰(fa)。

第九章 附則

第三十九條 本細則下列用語的(de)含(han)(han)義：實體安全(quan)，指保護計算機信息系統的(de)環(huan)境，計算機設備、設施（含(han)(han)網(wang)絡）以及其它(ta)媒體免遭地震(zhen)、水災、火災、雷電(dian)、有害氣體和其它(ta)環(huan)境事故（如電(dian)磁污染(ran)等）破壞。

運行(xing)安(an)全，指保護計算機信息(xi)系(xi)統的信息(xi)處(chu)理過程順利進行(xing)。

信(xin)息安(an)全，指保障信(xin)息的完整性(xing)(xing)、保密性(xing)(xing)、可用性(xing)(xing)和(he)可控性(xing)(xing)。

內容安(an)全，指確(que)保計(ji)算機信息(xi)系統(tong)中傳輸的信息(xi)所承載的內容的合法性。

安全（漏洞(dong)）檢測，指利用計算(suan)機技(ji)術手段(duan)掃描、探測計算(suan)機信息系統安全漏洞(dong)。

第四十條 本(ben)(ben)辦法規定的(de)“以上”含本(ben)(ben)數。

第四十一條 本辦法(fa)規定(ding)的有關表格和證書由省公安廳制定(ding)式樣(yang)，統一監制。

第四十二條 本辦法由省公安(an)廳負責解釋(shi)。

第四十三條 本辦(ban)法自2008年12月1日起施行。